Mata in tidsnormalisering

Frågetidsparsning

Som diskussion i ASIM-översikten använder Microsoft Sentinel både frågetid och inmatningstidsnormalisering för att dra nytta av fördelarna med var och en.

Om du vill använda frågetidsnormalisering använder du frågetidens enande parsrar, till exempel _Im_Dns i dina frågor. Det finns flera fördelar med att normalisera användning av frågetidsparsning:

• Bevara det ursprungliga formatet: Normalisering av frågetid kräver inte att data ändras, vilket bevarar det ursprungliga dataformatet som skickas av källan.
• Undvika potentiellt duplicerat lagringsutrymme: Eftersom normaliserade data bara är en vy över de ursprungliga data behöver du inte lagra både ursprungliga och normaliserade data.
• Enklare utveckling: Eftersom frågetidsparsers visar en vy över data och inte ändrar data är de lätta att utveckla. Du kan utveckla, testa och åtgärda en parser på befintliga data. Dessutom kan parsers åtgärdas när ett problem identifieras och korrigeringen gäller för befintliga data.

Mata in tidsparsning

Medan ASIM-frågetidsparsers är optimerade kan frågetidsparsning göra frågor långsammare, särskilt på stora datamängder.

Genom att mata in tidsparsning kan händelser omvandlas till ett normaliserat schema när de matas in i Microsoft Sentinel och lagras i ett normaliserat format. Inmatningstiden är mindre flexibel och parsers är svårare att utveckla, men eftersom data lagras i ett normaliserat format ger bättre prestanda.

Normaliserade data kan lagras i Microsoft Sentinels inbyggda normaliserade tabeller eller i en anpassad tabell som använder ett ASIM-schema. En anpassad tabell som har ett schema nära, men inte identiskt, med ett ASIM-schema, ger också prestandafördelarna med inmatningstidsnormalisering.

För närvarande stöder ASIM följande inbyggda normaliserade tabeller som mål för inmatningstidsnormalisering:

• ASimAuditEventLogs för granskningshändelseschemat.
• ASimAuthenticationEventLogs för autentiseringsschemat.
• ASimDnsActivityLogs för DNS-schemat .
• ASimNetworkSessionLogs för nätverkssessionsschemat
• ASimWebSessionLogs för webbsessionsschemat.

Fördelen med inbyggda normaliserade tabeller är att de ingår som standard i ASIM-förenande parsers. Anpassade normaliserade tabeller kan ingå i de enande parsarna, enligt beskrivningen i Hantera parsare.

Kombinera normalisering av inmatningstid och frågetid

Frågor bör alltid använda frågetiden för att förena parsrar, till exempel _Im_Dns för att dra nytta av både frågetid och inmatningstidsnormalisering. Inbyggda normaliserade tabeller ingår i de efterfrågade data med hjälp av en stub-parser.

Stub-parsern är en frågetidsparser som använder som indata för den normaliserade tabellen. Eftersom den normaliserade tabellen inte kräver parsning är stub-parsern effektiv.

Stub-parsern visar en vy för den anropande frågan som lägger till i den interna ASIM-tabellen:

• Alias – för att inte slösa lagring på upprepade värden lagras inte alias i asim-interna tabeller och läggs till vid frågetillfället av stub-parsarna.
• Konstanta värden – Precis som alias och av samma anledning lagrar ASIM-normaliserade tabeller inte heller konstanta värden som EventSchema. Stub-parsern lägger till dessa fält. ASIM-normaliserad tabell delas av många källor och inmatningstidsparsers kan ändra sin utdataversion. Därför är fält som EventProduct, EventVendor och EventSchemaVersion inte konstanta och läggs inte till av stub-parsern.
• Filtrering – stub-parsern implementerar också filtrering. Även om asim-interna tabeller inte behöver filtreringsparsers för att uppnå bättre prestanda, krävs filtrering för att stödja inkludering i den enande parsern.
• Uppdateringar och korrigeringar – Med en stub-parser kan du åtgärda problem snabbare. Om data till exempel matades in felaktigt kanske en IP-adress inte har extraherats från meddelandefältet under inmatningen. IP-adressen kan extraheras av stub-parsern vid frågetillfället.

När du använder anpassade normaliserade tabeller skapar du en egen stub-parser för att implementera den här funktionen och lägger till den i de enhetliga parsarna enligt beskrivningen i Hantera parsers. Använd stub-parsern för den interna tabellen, till exempel den inbyggda DNS-tabellsubparsern och dess filtreringsmotsvarighet, som utgångspunkt. Om tabellen är halvnormaliserad använder du stub-parsern för att utföra den ytterligare parsning och normalisering som krävs.

Läs mer om att skriva parsers i Utveckla ASIM-parsers.

Implementera inmatningstidsnormalisering

Om du vill normalisera data vid inmatning måste du använda en datainsamlingsregel (DCR). Proceduren för att implementera DCR beror på vilken metod som används för att mata in data. Mer information finns i artikeln Transformera eller anpassa data vid inmatning i Microsoft Sentinel.

En KQL-transformeringsfråga är kärnan i en DCR. KQL-versionen som används i DCR skiljer sig något från den version som används någon annanstans i Microsoft Sentinel för att uppfylla kraven för pipelinehändelsebearbetning. Därför måste du ändra valfri frågetidsparser för att använda den i en DCR. Mer information om skillnaderna och hur du konverterar en fråge-time-parser till en inmatnings-time-parser finns i om DCR KQL-begränsningarna.

Nästa steg

Mer information finns i:

• Normalisering och ASIM (Advanced Security Information Model)
• Asim-parsers (Advanced Security Information Model)
• Transformera eller anpassa data vid inmatning i Microsoft Sentinel